网络安全之供应链安全:第三方软件供应商
了解通过第三方软件供应商发起的供应链攻击示例,其中合法的工业控制系统可能被“木马化”。自2011年以来,被称为 Dragonfly(也称为 Energetic Bear、Havex 和 Crouching Yeti)的网络间谍组织一直在瞄准欧洲和北美的公司,主要目标是能源行业。该团体有通过供应链针对相应公司攻击的历史。
在他们的最新活动中,Dragonfly 成功地“木马化”了合法的工业控制系统 (ICS) 软件。为此,他们首先入侵了 ICS 软件供应商的网站,并用自己感染了恶意软件的版本替换了其存储库中的合法文件。随后,当从用户从供应商的网站下载 ICS 软件时,会在安装合法的 ICS 软件时安装恶意软件,包括额外的远程访问功能,可用于控制安装它的系统。如果被入侵的软件在源头已经被更改,则很难被检测到,因为目标用户公司没有理由怀疑其不合法性。这中供应链安全极大地依赖于供应商,因为用户深入检查每一个硬件或软件以发现此类攻击所需的深度是不可行的。供应链安全中第三方软件供应商安全的案例,今年最为典型的是攻击者设法黑了基于德克萨斯州的IT管理和监视解决方案提供商SolarWinds的系统之后,已导致全球许多组织的网络遭到破坏。攻击者破坏了该公司Orion监视产品的构建系统。攻击者可能向数千家组织提供了带有恶意软件的更新包,其中包括网络安全公司FireEye(世界最大网络安全公司之一的FireEye被黑,红队渗透工具被盗)和以及美国政府的各种组织。美国当局就此次供应链攻击事件,对俄罗斯进行了指控,声称是俄罗斯赞助的国家级黑客团体主导了这场供应链攻击。而俄罗斯方面对这一指控予以否认。
供应链攻击中最为成功惊世骇俗的非美国、以色列对伊朗核设施发动的“震网”病毒莫属了。作为世界上首个网络“超级破坏性武器”,Stuxnet的计算机病毒已经感染了全球超过 45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。计算机安防专家认为,该病毒是有史以来最高端的“蠕虫”病毒。蠕虫是一种典型的计算机病毒,它能自我复制,并将副本通过网络传输,任何一台个人电脑只要和染毒电脑相连,就会被感染。供应链安全在西方信息安全领域,算是一个常提常新的话题了。美国这种具备超强供应链攻击能力的国家,自然明白供应链攻击的危害,所以也不断利用自己在媒体中的话语权炒作俄罗斯黑客、中国黑客,对中俄进行污名化,最近又曝出,美国商务部出台新出口管制,要求禁止向中俄等国出口攻击、监控等类别的网络安全工具。美国商务部在一份声明中表示,在经过大量讨论之后,他们认为禁止出售黑客工具已经可以取得平衡,能在继续保持美国研究人员及网络安全公司同海外合作伙伴与客户合作解决软件漏洞和恶意攻击的同时,有效遏制对手掌握相关黑客技术。从中,我们也看到美国在这方面囤积居奇,奇货可居应该是海量的。供应链的安全可控是非常重要的,绝非是空谈。目前,世界各国都已经普遍认识到供应链安全重要性,我们需要保持高度的安全意识,加强供应链安全管理,供应商也需要增强自身安全管控,不断提升自身安全,提升自身在网络安全行业的安全可信度,提升自身商誉。网络安全的 10 个步骤之供应链安全网络安全之供应链安全(一)网络安全之供应链安全(二)网络安全之供应链安全(三)网络安全风险管理介绍风险管理之风险信息多样化风险管理指导之风险基础网络安全的 10 个步骤之安全培训网络安全的 10 个步骤之日志记录和监控分析网络安全的 10 个步骤之架构和配置网络安全的 10 个步骤之供应链安全网络安全的 10 个步骤之数据安全网络安全的10个步骤之事件管理网络安全的 10 个步骤之身份鉴别和访问控制网络安全的 10 个步骤之风险管理网络安全的 10 个步骤之资产管理网络安全的 10 个步骤之漏洞管理